Наслідки GDPR для фахівців у галузі харчування

Загальний регламент про захист даних є основною причиною для занепокоєння серед фахівців з різних областей. Фахівці у галузі охорони здоров’я та харчування не є винятком. Але не хвилюйтеся, першим кроком на шляху дотримання вимог GDPR є усвідомлення того, що існують нові правила щодо захисту даних, та переконання, що ви та ваша організація, якщо такі є, знаєте про основні зобов’язання. Якщо ви читаєте цей текст, то, як мінімум, ви щойно зробили перший крок.

У цій статті ми розглянемо деякі наслідки Загального регламенту захисту даних (далі - GDPR або просто Регламент) для фахівців у галузі харчування. Щоб дізнатись більше про GDPR та кроки, які робить Nutrium щодо дотримання вимог, прочитайте нашу попередню статтю тут.

Ми також рекомендуємо ознайомитися з Положенням та веб-сайтом наглядового органу вашої країни, де ви, швидше за все, знайдете повну документацію з цього питання.

Ще не використовує Нутрій?

Приєднуйтесь до більш ніж 20 000 спеціалістів з харчування та спробуйте наше програмне забезпечення для харчування безкоштовно

Вечірки в грі

Неможливо було б належним чином пояснити GDPR, не попередньо пояснивши деякі фундаментальні поняття про залучені сторони. Відносини в Регламенті приблизно визначені таким чином: суб’єкт даних (ваш пацієнт) надає свої особисті дані контролеру (вам, спеціалісту з харчування), який відповідає за обробку даних, як це передбачено Регламентом.

У деяких випадках контролер може залучити третю сторону для здійснення частини таких операцій з обробки від його імені. Ці треті сторони в номенклатурі GDPR називаються процесорами. Такий випадок з нашою компанією. Healthium, головним чином, є процесором, що займається харчуванням, і сам може укласти договір на обробку даних з іншими процесорами. Як контролер ви завжди повинні переконатися, що ваші процесори відповідають вимогам GDPR.

Законність обробки

Як адміністратор, і щоб уникнути юридичних ускладнень та штрафних санкцій, ви повинні переконатися, що вся обробка персональних даних ваших пацієнтів є законною, іншими словами, ви повинні мати, принаймні, якусь правову підставу, щоб обробка могла законно прийняти місце. Стаття 6 GDPR передбачає шість "законних підстав" для обробки даних. Давайте розглянемо три з них:

Згода: Ви можете обрати особисті дані за згодою пацієнта. Якщо суб’єкт даних дав свою явну та усвідомлену згоду, обробка повинна бути законною. Наприклад, ви повинні використовувати згоду, коли хочете використовувати дані свого пацієнта в маркетингових цілях. Ніщо не заважає вам проводити зустрічі на основі згоди, але майте на увазі, що в цих ситуаціях пацієнт може в будь-який час відкликати згоду, заважаючи вам продовжувати обробляти їх дані. Крім того, ви повинні мати організаційні засоби, щоб довести таку згоду та надати суб’єкту даних простий спосіб відкликати його.

Для договірних цілей: обробляти персональні дані законно, коли це необхідно для належного виконання договору. Наприклад, для того, щоб ви правильно відсвяткували трудовий договір із секретарем, було б законним збирати всі персональні дані, необхідні для ідентифікації сторін та обробки заробітної плати. Наприклад, такі дані, як повне ім'я, адреса або номер банківського рахунку.

Законні інтереси: де обробка необхідна для задоволення законних інтересів, що переслідуються контролером або третіми сторонами. Наприклад, фахівець з дієтології має законний інтерес у зборі даних про стан здоров’я свого пацієнта, оскільки саме ці дані дозволять їм успішно провести призначення.

Зрештою, від вас залежить вибір та аналіз “законної основи”, якій ви хочете бути або піддатися. Але майте на увазі, що деякі "законні основи" можуть бути більш доречними, ніж інші, залежно від обробки, про яку йдеться.

Наприклад, використання "законних інтересів" як законної основи для обробки даних може здатися найпростішим способом, однак для цього потрібно "Оцінка законних інтересів", щоб суб'єкт даних міг знати, які ці інтереси.

З іншого боку, "згода" дає суб'єкту даних майже абсолютний контроль над своїми даними та забирає їх у вас. Цей метод вважається більш прозорим, але може бути непрактичним для впровадження, оскільки вимагатиме як організованого реєстру таких згод, так і спроможності забезпечити пов'язані з ним права.

Права пацієнтів

Як ми вже бачили, крім ваших пацієнтів, вони також є суб'єктами даних. Таким чином, GDPR встановлює набір прав, яких вам доведеться виконувати. Зверніть увагу, що деякі з цих прав безпосередньо пов’язані з обраною вами законною основою, тому деякі з них можуть бути не застосовними.

Протягом кількох наступних рядків ми спробуємо пояснити деякі з цих прав і коротко продемонструвати, як ви можете їх дотримуватися:

Право бути поінформованим: якщо особисті дані збираються у пацієнтів, вся інформація, що міститься у статті 13 Регламенту, повинна надаватися чітко, коротко та прозоро. Це дуже великий набір інформації, який в ідеалі повинен бути зведений у документ і наданий замовнику. Це можна зробити кількома способами: шляхом усного повідомлення цієї інформації пацієнту; доставка документа, надрукованого під час призначення; присвячення темі сторінки на вашому веб-сайті та запрошення пацієнта прочитати її; серед інших способів.

Право доступу: пацієнт має право знати, чи обробляються його персональні дані, і якщо так, то він має право отримати до них доступ. У цих ситуаціях фахівець з харчування повинен надати пацієнтові всі деталі щодо персональних даних, які обробляються, а також зробити доступною всю інформацію, що міститься у статті 15. Якщо суб’єкт даних робить запит електронними засобами, ця інформація повинна передаватися пацієнта у загальновживаній електронній формі, як pdf, якщо вони не вимагають іншого.

Право на виправлення та стирання: зіткнувшись з недостовірною або неповною інформацією, пацієнт має право отримати від спеціаліста з харчування, без зайвих затримок, виправлення своїх даних. Таким же чином вони можуть вимагати від професіонала видалення своїх даних без зайвої затримки, будучи впевненими, що професійним завданням є, в перший момент, проаналізувати відповідність цього запиту відповідно до статті 17.

Право на перенесення даних: якщо обробка ґрунтується на згоді чи контракті та здійснюється автоматичними засобами, фахівець з питань харчування повинен на вимогу суб’єкта даних надати їм усю інформацію у структурованому, загальновживаному та машиночитаному форматі, наприклад як, наприклад, PDF-документ, Word або навіть Excel.

Право на заперечення та право на обмеження обробки: право на заперечення поширюється, зокрема, на ситуації, в яких законною основою лікування є "законні інтереси" фахівця з харчування. У цих випадках, оскільки попереднього запиту на отримання згоди не було, регулятор дав можливість суб’єкту даних виступити проти обробки. Право на обмеження, в свою чергу, в основному призначене для ситуацій, коли негайне видалення персональних даних не бажане і як таке суб'єкт даних вимагає лише обмеження обробки даних.

Записи обробної діяльності

Якби ми могли вибрати два слова, які якимось чином визначали GDPR, вони, мабуть, були б методом та організацією. І це стосується наступного зобов’язання: клініки та спеціалісти з харчування, як правило, повинні вести облік усіх переробних робіт, що знаходяться під їх відповідальністю.

Отже, ви повинні скласти у письмовому форматі та в електронному файлі (наприклад, аркуші Excel) усі категорії суб’єктів даних та персональні дані, які ви обробляєте, описуючи їх та пов’язуючи з цілями, для яких вони призначені. І пам’ятайте, що це відображення може також охоплювати дані ваших співробітників, наприклад.

Ви також повинні чітко пояснити, з якими процесорами ви залучаєте, та надати їх ім’я та контакт, а також контакти вашого співробітника з захисту даних та вашого представника, де це можливо. Будь ласка, ознайомтесь із повним переліком необхідної інформації у статті 30 Регламенту.

Ми хотіли б наголосити, що це документ, що має велике значення, оскільки він повинен надаватися контролюючому органу у разі потреби. Її не слід плутати з іншими документами, такими як Політика конфіденційності та Повідомлення про конфіденційність, покликання яких є переважно публічним та спрямоване на інформування суб'єктів даних.

Безпека та захист даних

Однією з найбільших проблем Регламенту є забезпечення того, щоб обробка персональних даних здійснювалась якомога безпечніше. Таким чином, фахівці з харчування повинні застосовувати у своїй практиці всі необхідні заходи безпеки для захисту персональних даних своїх пацієнтів.

Такі заходи могли б допомогти у виборі хмарних постачальників, що відповідають вимогам GDPR; шифрування електронних пристроїв, що містять особисті дані, таких як комп’ютери; періодичне поновлення ваших паролів; і так далі.

Однак цифровий контекст - це не єдина сфера, яка повинна враховуватися Регламентом, також слід вживати заходів обережності щодо фізичного простору вашої практики.

Кабінети з картотеками пацієнтів слід заблокувати, а доступ до таких файлів повинен бути обмежений тими групами людей, яким суворо потрібен доступ до них. Крім того, усі паперові документи, особливо ті, що містять конфіденційні дані, слід належним чином утилізувати, а саме за допомогою подрібнювачів паперу.

Нарешті, ви повинні бути готові до можливості порушення даних. У таких випадках, коли всі заходи безпеки не вдаються, і виявляється, що порушення даних ставить під загрозу права і свободи фізичних осіб, зокрема через втрату або крадіжку, ви зобов’язані повідомити про це наглядовий орган вашої країни та постраждалих суб’єкти даних, без зайвої затримки.

Ще не використовує Нутрій?

Висновок

Це лише деякі заходи, які вам доведеться почати вживати, і вони потребуватимуть ретельного планування та певного вивчення Регламенту. У Nutrium ми завжди будемо готові допомогти вам у будь-який спосіб, і ми впроваджуємо всі необхідні функції, щоб ви могли якомога ефективніше відповідати на запити ваших пацієнтів. Ми сподіваємось, що цей короткий посібник був корисним.

Останнє зауваження лише для того, щоб згадати, що ця стаття написана з урахуванням світової аудиторії професіоналів у галузі харчування. Хоча це може бути гарною відправною точкою, ця стаття не є вичерпною через обмеження, які передбачають повідомлення в блозі.

Інформація, яку ми надаємо тут, повинна застосовуватися від країни до країни та адаптуватися від професіонала до професіонала. Радимо заздалегідь проконсультуватися зі своїм адвокатом, з наглядовим органом чи місцевими асоціаціями.